Checkliste für die interne Revision für Ihr produzierendes Unternehmen
Die Fertigungsindustrie wird zunehmend von Aufsichtsbehörden überprüft. Da Cyberkriminelle zunehmend auf Schwachstellen in SCADA-Systemen abzielen, wird die Cybersicherheitslage eines Unternehmens für seine Fähigkeit, Daten zu schützen und wichtige Verträge zu erhalten, wichtiger. Beginnend mit einem sicherheitsorientierten Ansatz zur Cybersicherheit werden häufig Daten geschützt, aber um die Compliance-Anforderungen zu erfüllen, muss das Unternehmen die Wirksamkeit seiner internen Kontrollen dokumentieren.
Was sind die primären Cybersicherheitsbedenken der Fertigungsindustrie?
SCADA-Netzwerke sind eine Kombination aus Hard- und Software zur Steuerung und Überwachung industrieller Prozesse. Sie ermöglichen es Herstellern, mit Geräten zu interagieren, Daten zu protokollieren und Remote- und lokale Prozesse zu steuern. Viele dieser Geräte waren jedoch nicht für die Konnektivität gedacht, die heute für ein modernes Geschäftsmodell erforderlich ist. Daher sind sie mit einem erheblichen Cybersicherheitsrisiko verbunden, das die Fertigungsindustrie zu einem Hauptziel für böswillige Akteure macht.
SCADA-Risiken können jedoch nicht nur zu Produktionsausfällen, sondern vor allem zum Verlust von Menschenleben führen. Da SCADA-Systeme kritische Infrastrukturen steuern, zielen Cyberkriminelle zunehmend mehr auf sie ab als auf Standard-Geschäftssysteme.
Was sind die regulatorischen Compliance-Anforderungen für die Fertigungsindustrie?
Regulatorische Compliance-Anforderungen in der Fertigung werden in der Regel von der Bundesregierung diktiert. Diese Anforderungen legen Regeln fest, um sicherzustellen, dass nationale Geheimnisse geschützt werden. Sie ermöglichen Nichtregierungsorganisationen die Möglichkeit, Gegenstände für den staatlichen Gebrauch zu erstellen, während sie noch als private Unternehmen existieren.
International Traffic In Arms Regulation (ITAR)
Die ITAR deckt sowohl Güter als auch Technologie ab und kombiniert Handels- und Forschungsziele mit nationalen Sicherheitsanforderungen. Es regelt Gegenstände für kommerzielle Zwecke, die auch das Militär übernehmen kann, wie Computer und Software.
Defense Federal Acquisition Regulation Supplement (DFARS)
DFARS-Sicherungsregeln und -klauseln legen Mindestsicherheitsstandards für Informationssysteme fest, die Bundesvertragsinformationen verarbeiten, speichern oder übertragen. Diese grundlegenden Kontrollen müssen in der gesamten Lieferkette implementiert werden. NIST Special Publication SP 800-171 Set für Richtlinien zur Einhaltung.
Was sind die wichtigsten Industriestandards, die die Fertigungsindustrie betreffen?
Die Fertigungsindustrie muss traditionell Kontrollen implementieren, die auf den Normen der Internationalen Organisation für Normung (ISO) basieren.
ISO/IEC 27001:2013
Dieser risikobasierte Ansatz ermöglicht es einer Vielzahl von Organisationen und Branchen, ISO 27001 anzuwenden. Diese Flexibilität macht es zu einem der am häufigsten verwendeten Informationssicherheitsstandards. Darüber hinaus listet ISO / IEC 27001 in Anhang A eine Reihe von Steuerelementen auf, die eher wie ein Menü wirken und einen Sicherheitsansatz im Choose-your-own-Adventure-Stil schaffen. Diese erweiterten Kontrollsätze bieten dem Management die Möglichkeit, Risiken zu vermeiden, zu übertragen oder zu akzeptieren, anstatt sie durch Kontrollen zu mindern.
ISO 9001
Die Norm ISO 9001 legt die Anforderungen an ein Qualitätsmanagementsystem (QMS) fest. Qualitätsmanagementsysteme dokumentieren die Prozesse, Verfahren und Verantwortlichkeiten für Qualitäts- und Kontrollziele.
ISO 9001-Audits umfassen drei Arten der Überprüfung: Produkt, Prozess und System. Die lange Liste der erforderlichen Unterlagen enthält sowohl obligatorische als auch nicht obligatorische Informationen. Die Liste der obligatorischen Dokumente umfasst Dokumentenkontrollverfahren, Aufzeichnungsverfahren, interne Auditverfahren, Kontrolle von Nichtkonformitätsverfahren, Verfahren für Korrekturmaßnahmen und Verfahren für vorbeugende Maßnahmen. Obwohl dies zunächst nicht überwältigend erscheint, listet jede dieser Kategorien zusätzliche Dokumente auf, die erforderlich sind, um zu beweisen, dass der Prozess in Aktion funktioniert.
5 Schritte zu einem internen Audit in der Fertigung
Obwohl interne Audits belastend sein können, dienen sie effektiv als „Vortest“, bevor die externen Auditoren eintreffen. Eine erfolgreiche und umfassende interne Revision kann als „Übungslauf“ dienen, der es Ihnen ermöglicht, Probleme vor der externen Revision zu beheben und offizielle Feststellungen zu verhindern.
Identifizieren Sie Ihre Fachexperten (KMU)
Auch wenn es sich um eine interne Revision handelt, müssen Sie möglicherweise Stakeholder aus dem gesamten Unternehmen einbeziehen. Beispielsweise müssen SCADA-Experten und interne IT-Experten kommunizieren und zusammenarbeiten, um einen ganzheitlichen Security First Compliance-Ansatz zu entwickeln.
Dokumentieren Sie Ihre internen Kontrollverfahren und Ihre Gründe dafür
Unabhängig vom Reifegrad müssen Sie sicherstellen, dass Sie eine Risikoanalyse, Richtlinien, Verfahren und Prozesse erstellen. Diese Dokumentation dient als Roadmap für Ihr Compliance-Programm, das bei der Erstellung des Prüfungsumfangs hilft.
Kontinuierliche Überwachung der Wirksamkeit der Kontrolle
Cyberkriminelle entwickeln ihre Bedrohungsmethoden kontinuierlich weiter, sodass die Wirksamkeit einer Kontrolle jederzeit nachlassen kann. Sie müssen Ihre Kontrollen kontinuierlich überwachen und mögliche Schwachstellen so schnell wie möglich beheben.
Überwachung kontinuierlich dokumentieren
Audits sind auf Dokumentation angewiesen. Selbst wenn Sie kontinuierlich überwachen, kann der Auditor Ergebnisse zurückgeben, wenn Sie nicht über die Dokumentation verfügen. Die Dokumentation belegt die Governance über das Programm, die es dem Verwaltungsrat ermöglicht, das Programm zu überwachen.
Erstellen eines internen Audit-Workflows
Die Kommunikation vor, während und nach dem Audit trägt zur Aufrechterhaltung von Sicherheit und Compliance bei. Sie müssen einen Prozess zur Vorbereitung, Überprüfung und Reaktion auf die interne Revision erstellen, um sicherzustellen, dass alle Aufgaben rechtzeitig abgeschlossen werden.
Wie ZenGRC die interne Revision in der Fertigungsindustrie ermöglicht
Compliance-Programme erfordern die Kommunikation zwischen internen und externen Stakeholdern und ein Auditsystem, das dies ermöglicht.
ZenGRC bietet Workflow-Tagging, mit dem Sie Compliance-Aufgaben delegieren und deren Fortschritt und Abschluss überwachen können. Darüber hinaus können Sie Aufgaben priorisieren, damit Ihre Teammitglieder wissen, wie Sie ihre Aktivitäten planen.
Die Workflow-Management-Funktionen von ZenGRC umfassen ein zentrales Dashboard, das Ihre Steuerungseffektivität kontinuierlich dokumentiert und die Compliance-Dokumentation erleichtert.
Darüber hinaus können Sie einen Prüfpfad erstellen, indem Sie Aktivitäten dokumentieren und beheben, um Ihre Antworten auf Auditorenfragen zu unterstützen.